Долгосрочная поддержка Debian / Информация о безопасности LTS / 2016 / Информация о безопасности -- DLA-380-1 libvncserver

Рекомендация Debian по безопасности

DLA-380-1 libvncserver -- обновление безопасности LTS

Дата сообщения:

04.01.2016

Затронутые пакеты:

libvncserver

Уязвим:

Да

Ссылки на базы данных по безопасности:

На данный момент ссылки на внешние базы данных по безопасности отсутствуют.

Более подробная информация:

Разработчик основной ветки разработки Карл Рунге обнаружил и исправил проблему в libvncserver, которая касается потоковой безопасности в случае использования libvncserver для обработки нескольких VNC-соединений [1].

К сожалению, это исправление не так-то легко адаптировать (из-за поломки ABI) для libvncserver версии 0.9.7, поставляемой в составе Debian squeeze(-lts).

Тем не менее, указанная заплата для потоковой безопасности также решает связанную проблему с повреждением содержимого памяти, вызываемую освобождением глобальных переменных без их очистки в другом потоке, что в особенности проявляется при использовании libvncserver для обработки нескольких VNC-соединений.

Описанная проблема была решена в этой версии libvncserver, пользователям VNC рекомендуется выполнить обновление до указанной версии пакета.